Die Digitalisierung im Maschinenbau ermöglicht höhere Automatisierung, Echtzeitdatenverarbeitung und effiziente Fernwartung über den gesamten Lebenszyklus. Gleichzeitig entstehen neue Schwachstellen durch vernetzte Systeme, Cloud-Anbindungen und mobile Schnittstellen. Cyberangriffe gefährden damit nicht nur Daten, sondern auch die funktionale Sicherheit von Maschinen. Die EU hat darauf mit verbindlichen Regelwerken reagiert:
- Maschinenverordnung (EU) 2023/1230
- Cyber Resilience Act (EU 2024/2847)
- NIS-2-Richtlinie (EU 2022/2555)
Diese Vorgaben rücken Cybersecurity stärker in den Fokus der Maschinensicherheit und definieren klare Pflichten für Hersteller, Integratoren und Betreiber. Maschinenverordnung und CRA verankern digitale Schutzanforderungen in der Konformitätsbewertung und verlangen, Sicherheit frühzeitig in Entwicklung und Betrieb zu integrieren.
NIS 2 stärkt das
Sicherheitsmanagement
Mit der überarbeiteten Richtlinie zur Netz- und Informationssicherheit reagiert die EU auf die zunehmende Bedrohung kritischer Infrastrukturen. NIS 2 ersetzt die bisherige NIS 1 und erweitert sowohl den Anwendungsbereich als auch die Anforderungen an Unternehmen. Für den Maschinen- und Anlagenbau ist die Einordnung als ‚wichtiger Sektor‘ zentral. Betroffen sind Unternehmen mit mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz bzw. Bilanzsumme.
Kern von NIS 2 ist der Aufbau eines strukturierten und nachweisbaren IT-Sicherheitsmanagements. Unternehmen müssen Risiken bewerten, Schutzmaßnahmen umsetzen sowie regelmäßig überprüfen und aktualisieren. Hinzu kommen harmonisierte Meldepflichten: Sicherheitsvorfälle sind innerhalb von 24 Stunden an die zuständigen Behörden zu melden, eine ausführlichere Nachmeldung folgt innerhalb von 72 Stunden.
Maschinenverordnung
erweitert die CE-Bewertung
Die neue Maschinenverordnung löst die bisherige Maschinenrichtlinie ab und markiert einen Paradigmenwechsel. Neben klassischen Anforderungen an die funktionale Sicherheit berücksichtigt sie erstmals systematisch digitale Risiken aus Vernetzung und Automatisierung. Die Verordnung gilt ab dem 20. Januar 2027 verbindlich in allen EU-Mitgliedstaaten. Ziel ist es, den Stand der Technik in der Sicherheitsbewertung von Maschinen abzubilden – einschließlich digitaler Bedrohungen wie unerlaubten Fernzugriffen, manipulierter Software oder kompromittierten Schnittstellen. Die Anforderungen zur Cybersicherheit in Anhang III betreffen u.a.:
- Sichere Konnektivität: Externe Verbindungen dürfen keine Gefährdung auslösen. Schnittstellen müssen abgesichert oder deaktiviert sein.
- Schutz sicherheitskritischer Hardware: Relevante Komponenten sind gegen Manipulation und unbefugten Zugriff zu schützen.
- Zugriffskontrolle: Sicherheitskritische Funktionen erfordern differenzierte Rechtevergaben.
- Dokumentation: Digitale Funktionen und Schnittstellen sind vollständig zu dokumentieren.
- Softwareintegrität: Sicherheitsrelevante Software muss identifizierbar, manipulationsgeschützt und nur autorisiert änderbar sein.
- Robuste Steuerungsauslegung: Fehlfunktionen, Fremdeinflüsse und Autonomieeffekte müssen beherrscht werden.
- Rückverfolgbarkeit: Sicherheitsrelevante Steuerungs- und Softwarefunktionen müssen kontrollierbar und nachvollziehbar bleiben.
Neu ist zudem die Zulässigkeit digitaler Betriebsanleitungen. Diese müssen dauerhaft online verfügbar sein und auf Wunsch in Papierform bereitgestellt werden. Für nicht professionelle Nutzer bleiben gedruckte Sicherheitsinformationen Pflicht.
CRA für Produkte
mit digitalen Elementen
